domingo, junio 05, 2016

SMShing para robar tu 2nd Factor Authentication en tus cuentas Google o Apple #SMShing #Google #Apple

Para robar una identidad en Google o AppleID existen varias estrategias que un atacante puede seguir. Primero podría cotillear la seguridad de tu cuenta para descubrir si la protección es de sólo un factor (usuario y contraseña) o de más de un factor - utilizando un OTP vía SMS o Google Authenticator con 2nd Factor Authentication. Si solo tuviera protección por la contraseña, se podría intentar robar mediante un ataque de Phishing al uso.  Si una vez robada la contraseña, el atacante fuera a utilizarla y estuviera activado Google Authenticator, el atacante no podría entrar, pero la víctima - como ya os expliqué en este artículo - no se enteraría de su contraseña ha sido comprometida porque Google Authenticator no deja ningún rastro si no se intenta el inicio de sesión.

Figura 1: SMShing para robar tu 2nd Factor Authentication

Otra de las formas de robar la cuenta es por medio de las opciones de recuperación de contraseñas, pudiendo utilizar los mensajes SMS con un OTP para ello. En ese caso el atacante tiene que haber dado su número de teléfono a Google o Apple y activado el 2nd Factor Authentication para el login (como alternativa a Google Authenticator) o para recuperar la cuenta.

Figura 2: Google Authenticator solo avisa si se introduce un
código incorrecto, no cuando no se introduce.


En esos escenarios, intentar robar la cuenta por medio del sistema de recuperación vía SMS se puede hacer de muchas formas, desde usar la previsualización en el smartphone - si el atacante está cerca del terminal -, hasta robar el mensaje SMS si estamos en la misma celda de la red de comunicaciones usando ataques de RTL-Software Defined Radio, pasando por clonar la SIM si es una de las vulnerables y antiguas Comp128v1, o robarla usando los códigos PIN o PUK de tus contratos de línea.

Figura 3: SMShing que pide el token OTP para bloquear el acceso

Pero una forma muy sencilla que he visto hoy en Twitter se basa en utilizar un poco de ingeniería social y las técnicas de SMShing. Estas técnicas se basan en suplantar a una entidad por medio de mensajes SMS y en este caso el atacante le pide a la víctima el Token OTP que le van a enviar - o podrían pedirle el token TOTP de Google Authenticator - usando como gancho que han iniciado sesión con su cuenta desde una localización remota y que si quiere bloquearlo debe enviar por SMS el código que reciba en su terminal.

Figura 4: Todos los accesos e intentos de acceso a una cuenta protegida por Latch

Como se puede ver, el conocer que una víctima tiene un 2nd Factor Authentication sin que la víctima conozca que ya le han robado la contraseña - como dije que hacía mal Google Authenticator - es un problema. Recientemente una persona en uno de los clientes que usan nuestro sistema de 2nd Factor Authorization basado en Latch, detectó a un atacante que le había robado la cuenta por las alertas de Latch. Usando el lista detallado de accesos que metimos en la app les fue sencillo dar con el atacante y capturarle.

Figura 5: SMShing para robar cuentas de Apple

Dicho esto, ten mucho cuidado con estos ataques, pero especialmente avisa a tus amigos y conocidos que no no tienen 2nd Factor Authentication, que no saben qué es un OTP o qué es un TOTP para que estén alerta contra estos ataques. El SMShing se ha hecho muy popular sobre todo para robar los accesos a Find My iPhone de los terminales bloqueados por iCloud. Así que, primero se hacen con el iPhone bloqueado, y luego intentan robar la cuenta de acceso con SMShing usando SMS o iMessage.

Saludos Malignos!

No hay comentarios:

Publicar un comentario